# 为网络分析器添加必要的 IAM 角色
<a name="network-analyzer-iam"></a>

使用网络分析器时，必须授予用户使用 API 操作 [UpdateNetworkAnalyzerConfiguration](https://docs.aws.amazon.com/iot-wireless/2020-11-22/apireference/API_UpdateNetworkAnalyzerConfiguration.html) 和 [GetNetworkAnalyzerConfiguration](https://docs.aws.amazon.com/iot-wireless/2020-11-22/apireference/API_GetNetworkAnalyzerConfiguration.html) 访问网络分析器资源的权限。下面显示了您用于授予权限的 IAM 策略。

## 网络分析器的 IAM 策略
<a name="network-analyzer-policies"></a>

请使用以下任一项：
+ 

**完全访问无线策略**  
通过将策略 **AWSIoTWirelessFullAccess** 附加到您的角色，授予 适用于 LoRaWAN 的 AWS IoT Core 完全访问策略。有关更多信息，请参阅 [`AWSIoTWirelessFullAccess` 策略摘要](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullAccess$serviceLevelSummary)。
+ 

**用于获取和更新 API 的限定范围的 IAM 策略**  
通过转到 IAM 控制台的 [Create policy](https://console.aws.amazon.com/iam/home#/policies$new?step=edit)（创建策略）页面，并在 **Visual editor**（可视化编辑器）选项卡上创建以下 IAM 策略：

  1. 对于 **Service**（服务），选择 **IoTWireless**。

  1. 在 **Access level**（访问级别）下，展开 **Read**（读取）并选择 **GetNetworkAnalyzerConfiguration**，然后展开 **Write**（写入）并选择 **UpdateNetworkAnalyzerConfiguration**。

  1. 选择 **Next:Tags**（下一步：标签），然后输入策略的 **Name**（名称），例如 **IoTWirelessNetworkAnalyzerPolicy**。选择**创建策略**。

  以下内容显示您创建的策略 **IoTWirelessNetworkAnalyzerPolicy**。有关创建策略的更多信息，请参阅[创建 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create)。

  ```
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "VisualEditor0",
              "Effect": "Allow",
              "Action": [
                  "iotwireless:GetNetworkAnalyzerConfiguration",
                  "iotwireless:UpdateNetworkAnalyzerConfiguration"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

**用于访问特定资源的限定范围的策略**  
要配置更精细的访问控制，您必须将无线网关和设备添加到 **Resource**（资源）字段中。以下策略使用通配符 ARN 授予对所有网关和设备的访问权限。您可以使用 `WirelessGatewayId` 和 `WirelessDeviceId` 来控制对特定网关和设备的访问权限。

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iotwireless:GetNetworkAnalyzerConfiguration",
                "iotwireless:UpdateNetworkAnalyzerConfiguration"
            ],
            "Resource": [
                "arn:aws:iotwireless:*:{accountId}:WirelessDevice/*", 
                "arn:aws:iotwireless:*:{accountId}:WirelessGateway/*", 
                "arn:aws:iotwireless:*:{accountId}:NetworkAnalyzerConfiguration/*"
            ]
        }
    ]
}
```

要授予用户使用网络分析器但不使用任何无线网关或设备的权限，请使用以下策略。除非指定，否则隐式拒绝使用资源的权限。

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iotwireless:GetNetworkAnalyzerConfiguration",
                "iotwireless:UpdateNetworkAnalyzerConfiguration"
            ],
            "Resource": [                
                "arn:aws:iotwireless:*:{accountId}:NetworkAnalyzerConfiguration/*"
            ]
        }
    ]
}
```

## 后续步骤
<a name="network-analyzer-iam-next"></a>

现在您已创建策略，您可以将资源添加到网络分析器配置中，并接收这些资源的跟踪消息收发信息。有关更多信息，请参阅[创建网络分析器配置并添加资源](network-analyzer-create-resources.md)。